安全研究人員發現(*1)，NoScript、Firebug、Video DownloadHelper、Greasemonkey 和 FlashGot Mass Down 等最流行的 Firefox 擴展（ Adblock Plus 除外）都包含了 可利用的漏洞，允許攻擊者開發的擴展通過調用其它擴展的功能而隱藏其惡意行為， 降低被發現的幾率。 漏洞與 Firefox 的擴展架構未能隔離擴展有關，它讓所有 JavaScript 擴展共享相同 的 JavaScript 命名空間，共享的命名空間讓其它擴展能讀寫其它擴展定義的全局變量， 調用或覆寫其它全局函數，修改實例化對象。 研究人員稱，攻擊者可以誘騙用戶安裝惡意擴展，然後惡意擴展可以通過調用瀏覽器安 裝的其它流行擴展去竊取 cookies，控制或訪問文件系統，或打開攻擊者選擇的網址。 研究人員開發的概念驗證原型還通過了 Mozilla 的審核。 Firefox 產品副總裁在一份聲明中表示，它的新擴展 API WebExtensions 提供了更好 的安全功能。 *1 NoScript and other popular Firefox add-ons open millions to new attack http://arstechnica.com/?p=859923 http://www.solidot.org/story?threshold=0&mode=nested&sid=47756 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.232.35.72 ※ 文章網址: https://www.ptt.cc/bbs/Browsers/M.1460013298.A.EDE.html